WPBakery já é utilizado por mais de 4 milhões de sites em WordPress. No entanto, com a alta demanda o número de tentativas de invasões também aumenta, e assim a plataforma precisa de mais investigação de possíveis ameaças. Com isso, os especialistas da Wordfence, identificaram em 27 de julho desde ano uma perigosa vulnerabilidade no WPBakery, e claro, foi reportada aos desenvolvedores daquela empresa.
No entanto, somente hoje 07 de outubro, a vulnerabilidade do WPBakery foi dada como totalmente corrigida, foram longos meses testando e com foco total em resolver o problema. Ainda segundo o Wordfence, a empresa responsável pelo WPBakery fez vários lançamentos de correções ao longo do tempo, mas todos não resolviam nada.
Infelizmente, o plug-in foi projetado com uma falha que poderia dar aos usuários com funções de contribuidor e autor a capacidade de injetar JavaScript malicioso em páginas e postagens. Essa falha também deu a esses usuários a capacidade de editar as postagens de outros usuários. O plugin desabilitou explicitamente todas as verificações de filtragem de HTML post padrão na saveAjaxFefunção usando kses_remove_filters();. Isso significava que qualquer usuário com acesso ao construtor WPBakery poderia injetar HTML e JavaScript em qualquer lugar em uma postagem usando o construtor de página.
Além disso, enquanto o WPBakery pretendia apenas que as páginas criadas com o construtor de páginas WPBakery fossem editáveis ??por meio do construtor, os usuários podiam acessar o editor fornecendo os parâmetros e valores corretos para qualquer postagem. Isso pode ser classificado como um bug geral, bem como um problema de segurança, e é o que possibilita que colaboradores e editores usem a wp_ajax_vc_saveação AJAX e a saveAjaxFefunção correspondente para injetar JavaScript malicioso em suas próprias postagens, bem como nas postagens de outros usuários.
O plug-in também tinha funcionalidade onclick personalizada para botões. Isso possibilitou a um invasor injetar JavaScript malicioso em um botão que seria executado com um clique do botão. Além disso, os usuários contribuinte e nível de autor foram capazes de usar a vc_raw_js, vc_raw_htmle botão usando custom_onclickcódigos de acesso para adicionar JavaScript malicioso para mensagens.
Milhares de lojas WooCommerce no WordPress estão expostas a hackers
Calendário desde a descoberta da falha
27 de julho de 2020 – descoberta inicial da vulnerabilidade. Desenvolvemos uma regra de firewall e a movemos para a fase de teste.
28 de julho de 2020 – A regra de firewall foi suficientemente testada e lançada para usuários premium. Fazemos nosso contato inicial com a equipe de plug-ins WPBakery.
29 de julho de 2020 – A equipe WPBakery responde confirmando a caixa de entrada apropriada e enviamos todos os detalhes da divulgação.
21 de agosto de 2020 – após algum acompanhamento, um patch inicial é lançado.
26 de agosto de 2020 – Informamos a equipe da WPBakery que há alguns problemas menores que não foram resolvidos.
28 de agosto de 2020 – Usuários gratuitos do Wordfence recebem a regra de firewall.
2 de setembro de 2020 –Seguimos para ver se a equipe WPBakery recebeu nosso último e-mail.
9 de setembro de 2020 – A equipe WPBakery confirma que recebeu nosso e-mail e está trabalhando para lançar um patch adicional.
11 de setembro de 2020 – A equipe WPBakery lança um patch adicional que não é totalmente suficiente.
11 a 23 de setembro de 2020 – Trabalhamos juntos mais de perto para obter um patch adequado.
24 de setembro de 2020 – Patch final suficiente lançado na versão 6.4.1.
As informações acima foram divulgadas pelo blog do Wordfence.
